El Pasado 11 de Marzo la Superitendencia Financiera de Colombia publicó la circular externa 005 de 2019, en la cuál establecen los requerimientos que deben tener en cuenta las empresas vigiladas a la hora de contratar u operar servicios en la nube. En este artículo explicaremos algunos de los requerimientos establecidos por la SFC.

Gestión de Riesgos

El númeral 3.1 establece la gestión efectiva de riesgos derivados de la utilización de servicios en la nube. Es importante tener claridad sobre el cambio del panorama de riesgo a la hora de contratar este tipo de servicios.

La siguiente gráfica representa el modelo de seguridad compartida basada en los modelos de servicio IaaS, PaaS y SaaS. Teniendo claro el modelo de servicio contratado hay que comprender que los riesgos que asumen las empresas vigiladas están sobre las capas marcadas en azul, mientras que los riesgos de las capas marcadas en verde son transferidos al proveedor de servicios.

Es decir si usted contrata servicios como Office365, G-Suite o un CRM, estos servicios estarán en la modalidad de Software como Servicio o SaaS. En este escenario el proveedor; es decir Microsoft, Google, o el que haya seleccionado, asumirá los controles desde la capa física hasta la capa de aplicación, incluyendo el aseguramiento de API’s.  El cliente, en este caso las empresas vigiladas deberán gestionar los riesgos sobre los datos que reposan en la plataforma del proveedor de servicio

Por ejemplo, se deben contemplar riesgos asociados a la fuga de información y allí establecer controles como:

  • Clasificación y etiquetado de la información
  • Logs de auditoría y monitoreo de los datos
  • Fortalecer la autenticación a los servicios mediante contraseñas robustas o preferiblemente mediante la implementación de mecanismos de múltiple factor de autenticación o doble factor de autenticación (2FA) (Númeral 4.10 CE0052019)
  • Establecer mecanismos de cifrado de los datos incluyendo correos electrónicos con información sensible.

 

¿Cómo puedo saber si el proveedor cumple con los controles asociados a las demás capas de servicio?

La primera opción es establecer los criterios para la selección del proveedor (númeral 3.2 de la CE0052019), para ello, indague sobre controles de seguridad, programa de gestión de riesgo y continuidad de negocio, casos de éxito de otros clientes, referencias en el mercado, estabilidad financiera, procesos de respuesta a incidentes, y certificaciones. Si es posible visite el centro de datos donde va a operar su negocio, si es Amazon, Google, Microsoft se complicará un poco la visita.

La mayoría de proveedores de servicio son auditados de forma regular por terceros independientes con el fin de certificar que cumplen con los estándares de seguridad de la industria, algunas de las certificaciones o reportes que puede solicitar al proveedor de servicio son:

  • ISO/IEC 27001 (Certificación del Sistema de Gestión de Seguridad de la Información basado en norma ISO)
  • SSAE18 (Reportes tipo SOC I, SOC II, SOC III)
  • STAR (Certificación de seguridad para proveedores de servicio liderado por la Cloud Security Alliance)
  • PCI/DSS (Si su negocio requiere plataformas para transacciones electrónicas)

Un proveedor de servicio que cumpla con uno o más de estos estándares demuestra compromiso con los programas de seguridad y madurez en sus procesos para ofrecer y operar soluciones pensadas en privacidad y protección de los datos. Esta información también debería solicitarse a empresas de servicios gestionados que operen sus plataformas.

En el sitio de la CSA (Cloud Security Alliance), se encuentra un registro de proveedores de servicios en la nube y sus respectivos controles, allí podrá consultar las empresas que publican la auto-evaluación de sus controles de seguridad; donde puede ver con que controles cumplen o no, algunas de estas empresas también están certificadas ante la CSA, esto quiere decir que cumplen con los controles de ISO/IEC 27001 y adicionalmente con los controles definidos para los proveedores de servicios en la nube.

Por ejemplo si usted va a contratar los servicios de Microsoft Azure, de un vistazo al sitio de registro de CSA, podrá observar que Microsoft Azure, tiene la auto-evaluación de sus controles de forma pública y estos son auditados y certificados por  terceros independientes.

En O4IT, nuestra empresa matriz, hemos trabajado desde el 2014 en cumplir con este estándar el cuál certificamos en 2018.

 

Acuerdos de Niveles de Servicio.

Los Acuerdos de Niveles de Servicio son reglas pactadas entre el proveedor de servicio y el cliente con el fin de establecer niveles de disponibilidad y servicio aceptable acorde a los tiempos de interrupción aceptados por el negocio dentro del Análisis de Impacto del Negocio o BIA. En la CE0052019 se establece una disponibilidad de al menos 99.95%, es decir que la indisponibilidad mensual no puede ser superior a los 21 minutos, puede utilizar esta calculadora en línea para realizar sus cálculos y establecer los tiempos de indisponibilidad aceptables para su negocio.

Establezca soluciones para monitorear los servicios prestados por el proveedor, herramientas como  nagios, zabbix, icinga, cacti, entre otras. Son medidas costo eficientes para garantizar la medición de los Acuerdos de Niveles de Servicio (ANS)

Cifrado de Datos

El cifrado de datos es tal vez uno de los controles más dificiles de garantizar por el costo y la complejidad asociados a su implementación, el ingresar a sus servicios por HTTPs le asegura una capa de cifrado en transporte, valide con su proveedor opciones para cifrar los datos en reposo.

Este tipo de soluciones pueden representar una inversión significativa pero necesaria según la sensibilidad de los datos que procese en los servicios en la nube. (Numeral 3.10 CE0052019). Gran parte de las brechas de seguridad reportadas podrían tener un menor impacto si los datos sensibles estuvieran cifrados. Lo invitamos a analizar algunos escenarios de brechas de seguridad disponibles en línea.

 

Gestión de Vulnerabilidades:

Algunos proveedores ofrecen programas de recompensas de vulnerabilidades (Bug Bounties), en la cual, personas ajenas al proveedor identifican fallos de seguridad y los notifican directamente al proveedor para que sean remediadas en lugar de que estas se ofrezcan al mercado negro. Solicite información a su proveedor sobre los procesos de identificación, priorización y gestión de vulnerabilidades, una vulnerabilidad crítica no tratada a tiempo puede ser perjudicial para su negocio.

Como cliente, usted también tiene derecho a evaluar la seguridad de su proveedor (Numeral 4.9 CE0052019), contrate servicios de evaluación de vulnerabilidades o pruebas de intrusión de forma periódica y pida a su proveedor permiso para realizar la prueba. Algunos proveedores ofrecen un formulario donde se establece un pemiso para ejecutar las pruebas de seguridad, recuerde que una prueba no autorizada se puede catalogar como una violación a las leyes de delitos informáticos de cada país.

 

Continuidad de Negocio:

Los grandes también caen!. Amazon, Google, Microsoft han sufrido indisponibilidades en los últimos años que han afectado la operación de múltiples compañias, si bien existen acuerdos de niveles de servicio establecidos esto finalmente representa notas crédito o descuentos en el servicio, incluso cancelaciones de contrato. Sin embargo ¿qué pasa con su negocio? ¿qué pasa con la reputación? ¿qué pasa con sus clientes?. No hay que confiarse, establezca un Plan de Continuidad de Negocio y realice pruebas de forma periódica, imagine que su proveedor principal de servicios en la nube sufre una indisponibilidad de 4 horas, ¿cómo continuaría su operación?. Simule el peor escenario y establezca una estrategia para continuar la operación de su negocio.

De clic sobre las imágenes para consultar sobre los incidentes por indisponibilidad de algunos proveedores.

 

 

Proteja los registros solicitados por la Superintendencia Financiera de Colombia:

La SFC solicita que se les comparta una serie de documentos (numeral 6 y 7 ), establezca canales seguros para compartir estos datos, en lo posible cífrela o protejala con una contraseña robusta antes de emitirla a la SFC, los registros solicitados  por la SFC contemplan información confidencial del negocio.

Los invitamos a que nos cuenten cualquier duda en los comentarios de este espacio, hasta la próxima.

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like